vulnhub-Five86-1
靶机地址: https://www.vulnhub.com/entry/five86-1,417/.
namp
使用nmap对进行探测,得到靶机的ip
nmap 192.168.88.0/24 -T4
再用nmap进行更详细的探测,发现以下三个端口以及对应的服务。
nmap 192.168.88.136 -T4 -A -sV -p-
22端口尝试着爆破,但无果。
访问靶机的80端口,一片空白。想起了nmap扫描到的robots.txt,对其访问发现存在一个目录
OpenNetAdmin
访问该目录跳转到OpenNetAdmin的管理页面,并且也爆出了版本号, 想了解的可自行百度。
Metasploit
接下来就在漏洞库查找也没有该版本的漏洞,发现刚好有一个对应版本的漏洞,并且在msf中也有可利用的exp。
searchsploit OpenNetAdmin
设置好参数之后执行
可以看到已经返回了shell
查看所返回的shell的权限,发现并不是很高。在查看该主机有多少个用户
发现了五个用户,分别是moss、roy、jen、richmond、douglas
进到/home目录,发现五个用户的/home目录都没权限进入
最后在/var/www目录下发现douglas用户的hash密码文件。用kali自带的字典对其hash进行爆破发现行不通,但在下方也对密码进行了提示:密码长度是10,且包含aefhrt,使用crunch生成口令字典,再利用john进行爆破。
crunch 10 10 aefhrt > five1.txt
结合之前得到的hash值,用john进行爆破
echo 'douglas:$apr1$9fgG/hiM$BtsL9qpNHUlylaLxk81qY1' > test.txt
最后爆出密码为:fatherrrrr
使用帐号douglas登录靶机,发现douglas用户可以以jen的身份使用cp命令。这里可以使用linux主机免认证的方式将生成的key文件覆盖掉jen用户的key文件,达到登录jen用户的目的。
cd .ssh/
cp id_rsa.pub /tmp/authorized_keys
cd /tmp/
sudo -u jen cp authorized_keys /home/jen/.ssh
ssh jen@192.168.88.136
登录成功发现有一个邮件,查看发现里面有moss的密码,并且登录也成功了。
登录成功之后在moss的家目录找到了一个只可行文件,并且有suid权限。看来这应该是拿root权限的组后一个方法。玩起这个游戏,最后拿到了root权限也拿到了最后的flag
find / -type f -perm -u=s 2>/dev/null
记,第一次写博客。
ps:
个人站点博客:XingHe,欢迎来踩~